ASP.NET Core でのクレームとポリシーに基づく認可

前のユニットでは、多要素認証を有効にする QR コード機能を追加しました。このユニットでは、クレームとポリシーに基づく認可について説明します。

認可と認証

これまでに Identity について学んだことはすべて、"認証" に関することです。認証は、ユーザーが自分の主張する人物であることが確認されるプロセスです。

サインインフォームについて考えてみましょう。フォームにユーザー名を入力すると、あなたはあなたであることを主張しています。このフォームでは、パスワードを確認することで、あなたが主張する人物として、あなたが "認証" されます。

"認可" は、認証されたユーザーが許可されている動作を決定するプロセスを表しています。たとえば、管理画面は、クレームが IsAdmin=True であるユーザーに制限される場合があります。クレームは ID に関連付けられているため、認証なしでは認可することはできません。

クレームは、サブジェクトが "何である" かを説明する名前と値のペアです (それが "できること" ではありません)。クレームは信頼された機関によって割り当てられ、認可ポリシーを適用するために使用されます。

政府発行の ID を考えてみましょう。 ID には、あなたの属性が表示されます。これらがクレームです。関係者は、ID を観察し、そのソースと信頼性を確認し、属性に基づいて意思決定を行うことができます。決定によってポリシーが適用されます。

より具体的な例については、バーや居酒屋で考えてみましょう。 Alice は大人向けの飲み物を購入したいと考えています。バーテンダーは Alice の資格情報を調べ、生年月日の主張を確認します。その後、その生年月日に基づいてポリシーを適用し、Alice は飲み物を購入することが認可されます。

このユニットでは、認証と認可の違いについて学習しました。また、認可のためにポリシーによってクレームがどのように使用されるかについても学習しました。次のユニットでは、Identity を使ってクレームを格納し、条件付きアクセスのポリシーを適用します。